Barracuda full logo

Cos'è un'identità non umana?

Argomenti:
14 apr 2025
|
Paul Dughi

Le identità delle macchine o programmatiche, come servizi, app, script, bot e altri agenti automatizzati, lavorano dietro le quinte per automatizzare i flussi di lavoro. In altre parole, le macchine e i sistemi comunicano con altre macchine senza l'intervento umano.

Queste identità non umane (NHI) si autenticano automaticamente utilizzando chiavi API, token o certificati. Sono progettate per automatizzare e semplificare i flussi di lavoro, ma aprono la porta a potenziali rischi. Se uno di questi sistemi o macchine viene compromesso, può avere un effetto a catena su altri sistemi.

Identità comuni non umane

Sebbene l'elenco sia lungo, i tipi più comuni di NHIs includono:

  • Account di servizio: Account per scopi speciali utilizzati da applicazioni o script per accedere a sistemi o risorse senza intervento umano
  • Chiavi API: Token utilizzati per autenticare applicazioni o servizi quando si chiamano le API, spesso hard-coded o gestiti male
  • Client OAuth/token di accesso: Credenziali utilizzate dalle applicazioni per ottenere token di accesso e interagire con altri sistemi sotto autorità delegata
  • Certificati e chiavi private: Credenziali crittografiche utilizzate per verificare e proteggere la comunicazione tra macchine o servizi
  • Identità dei dispositivi IoT: Credenziali uniche assegnate ai dispositivi connessi per autenticarsi e interagire con servizi cloud o reti
  • Bot di automazione dei processi robotici (RPA): Bot software che eseguono attività ripetitive e richiedono l'accesso ad applicazioni o dati utilizzando credenziali memorizzate
  • Identità di container o pod: Identità di macchine assegnate a container o pod (ad esempio, in Kubernetes) per accedere in modo sicuro ad altre risorse cloud-native

L'esplosione degli NHI negli ultimi anni è significativa. Su la maggior parte dei sistemi, il numero di identità non umane supera quello degli utenti umani. Ad esempio, i segreti NHI come gli account di servizio in Kubernetes superano le identità umane di un fattore di 45:1 negli ambienti DevOps. Molti di questi segreti sono esposti e rimangono tali. Uno studio di GitGuardian ha mostrato che il 70% dei segreti rilevati nei repository pubblici nel 2022 sono ancora attivi oggi.

I potenziali problemi sembrano essere ancora più acuti con l'adozione dell'AI per lo sviluppo del codice. Sebbene ciò possa migliorare la produzione del codice, le credenziali sono spesso esposte in modi che non si verificano normalmente utilizzando pratiche di sviluppo tradizionali.

I 10 principali rischi OWASP NHI

A causa della prevalenza di identità non umane, l'Open Web Application Security Project (OWASP) ha lanciato un elenco completo dei rischi e delle vulnerabilità di sicurezza più urgenti derivanti dall'uso di NHI. Il OWASP Top 10 Non-Human Identities Risks – 2025 include potenziali exploit per aiutare gli sviluppatori a gestire e proteggere meglio le risorse.

1. Offboarding inappropriato

Non disattivare o rimuovere identità non umane, come account di servizio o chiavi di accesso, dopo che non sono più necessarie può lasciare i sistemi esposti. Queste credenziali inattive possono essere sfruttate dagli aggressori per ottenere accesso non autorizzato ad ambienti sensibili.

2. Perdita di segreti

Credenziali sensibili come chiavi API, token o certificati possono essere accidentalmente memorizzate in luoghi non protetti come codice, file di configurazione o strumenti di chat. Se questi segreti trapelano, gli attaccanti possono usarli per impersonare servizi o accedere a sistemi riservati.

3. NHIs di terze parti vulnerabili

Molti strumenti di sviluppo e servizi cloud si basano su componenti di terze parti che introducono identità non umane nel tuo ecosistema. Se un servizio o un plugin di terze parti viene compromesso, potrebbe portare al furto o all'uso improprio di credenziali e permessi.

4. Autenticazione insicura

Le identità non umane spesso si affidano a metodi di autenticazione obsoleti o deboli per connettere servizi e sistemi. L'uso di protocolli deprecati o una scarsa igiene dell'autenticazione può facilitare agli aggressori l'imitazione di componenti affidabili.

5. NHIs sovraprivilegiati

A volte le identità non umane ricevono più accesso del necessario, solo per comodità. Se una di queste identità viene compromessa, gli aggressori possono sfruttare le autorizzazioni in eccesso per muoversi lateralmente o intensificare i loro attacchi.

6. Configurazioni di distribuzione cloud non sicure

Gli strumenti CI/CD basati su cloud spesso richiedono credenziali per distribuire software, ma configurazioni errate, come archiviare le credenziali in testo semplice, possono esporre quei segreti. Se gli aggressori ottengono l'accesso a queste credenziali, potrebbero acquisire il controllo sugli ambienti di produzione.

7. Segreti di lunga durata

I segreti che non scadono mai o che sono validi per periodi prolungati sono particolarmente pericolosi se compromessi. Un aggressore con accesso a un segreto di lunga durata potrebbe sfruttarlo per mesi o anni senza essere rilevato.

8. Mancanza di isolamento ambientale

Il riutilizzo delle stesse identità non umane tra ambienti diversi (ad esempio, sviluppo, staging, produzione) aumenta il rischio. Un compromesso in un ambiente a rischio inferiore potrebbe portare ad accessi non autorizzati a sistemi critici se i confini delle identità non vengono applicati.

9. Riutilizzo NHI tra i sistemi

Utilizzare la stessa identità non umana per più sistemi o servizi può sembrare efficiente, ma crea un singolo punto di vulnerabilità. Se un sistema viene violato, tutti gli altri sistemi che utilizzano la stessa identità potrebbero essere esposti.

10. Uso improprio di NHIs da parte degli esseri umani

A volte gli sviluppatori utilizzano identità non umane per accedere manualmente ai sistemi, eludendo i controlli destinati agli utenti umani. Questa pratica rende difficile tracciare l'attività ed elimina la responsabilità, creando punti ciechi nel monitoraggio della sicurezza.

Attacchi nel mondo reale

Con la significativa dimensione della superficie di minaccia NHI, non sorprende che attori malintenzionati e stati nazionali sfruttino le lacune di sicurezza. Possono essere particolarmente difficili da rilevare perché gli NHI che interagiscono con i sistemi hanno un'autenticazione integrata per bypassare il rilevamento delle minacce.

Ecco alcune violazioni recenti che sono state ricondotte a problemi di identità non umana.

Azioni GitHub

Un attacco alla supply chain su GitHub Actions ha provocato una diffusa esposizione delle credenziali. Gli attaccanti hanno compromesso l'account privilegiato di un manutentore, consentendo loro di modificare i tag dei pacchetti e reindirizzare gli utenti a un payload dannoso che ha sottratto segreti dai membri del server utilizzando workflow CI/CD accessibili pubblicamente.

Tesoro degli Stati Uniti

Il Dipartimento del Tesoro degli Stati Uniti ha subito una grave violazione della sicurezza quando hacker sponsorizzati dallo stato cinese hanno sfruttato una chiave API compromessa da BeyondTrust, un fornitore di cybersecurity terzo, per accedere alle postazioni di lavoro dei dipendenti e ai documenti non classificati.

AWS

Oltre 230 milioni di ambienti cloud sono stati compromessi sfruttando credenziali AWS archiviate in modo non sicuro. Le chiavi AWS, i token API e le password dei database sono stati esposti, che gli aggressori hanno utilizzato per aumentare i privilegi.

The New York Times

La violazione di GitHub del New York Times a gennaio 2024 si è verificata quando gli aggressori hanno sfruttato un token GitHub esposto, consentendo loro di rubare 270GB di codice sorgente interno e documentazione IT, che è stata successivamente trapelata su 4chan.

Fiocco di neve

Dati sensibili di oltre 165 aziende sono stati esposti utilizzando credenziali non protette prive di autenticazione multifattoriale (MFA) e rotazione delle credenziali. Chiavi di credenziali rubate sono state utilizzate per accedere agli account Snowflake senza interazione umana.

Dropbox

Gli aggressori hanno abusato di un account di servizio, sfruttando chiavi API e token OAuth per violare l'ambiente di produzione di Dropbox Sign. I dati dei clienti, i nomi utente e le password crittografate sono stati esposti.

Proteggere il tuo ambiente

In quasi tutti i casi, le violazioni di NHI sono il risultato di un fallimento nel proteggere correttamente segreti, credenziali o ambienti da parte degli utenti. L'attacco di identità non umana più comune deriva da un errore umano, evidenziando la necessità critica di misure di sicurezza per proteggere le informazioni sensibili indipendentemente da dove siano archiviate o dalla forma in cui si trovano.

Iscriviti al blog di Barracuda
Paul Dughi

Paul Dughi è un giornalista digitale e veterano dell'industria dei media. Ha ricoperto il ruolo di VP/Technology per un gruppo di stazioni televisive e anche quello di Presidente di sei stazioni televisive di proprietà e gestite in California. Attualmente lavora come CEO presso StrongerContent.com.

Post correlati:
Navigare nel ciclo di rilascio delle API
Navigare nel ciclo di rilascio delle API
 Perché le API zombie sono una bomba a orologeria per la tua azienda
Perché le API zombie sono una bomba a orologeria per la tua azienda
 Protezione contro i bot scraper di intelligenza artificiale generativa: Il potere di Barracuda Advanced Bot Protection
Protezione contro i bot scraper di intelligenza artificiale generativa: Il potere di Barracuda Advanced Bot Protection
 Threat Spotlight: Bad bots are evolving to become more 'human'
Threat Spotlight: Bad bots are evolving to become more 'human'
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.